用WiFi像“裸奔”网络支付到底安不安全[图]

　　登录微信朋友圈，手机上显示的所有图片同步出现在了“水波”的平板电脑上。“你看，这一串数字是你的银行卡卡号，下面这六位是登录网络银行的密码。”水波在满屏看似毫无逻辑的符号中找出了两组数字，而这两组数字是用手机浏览器登录网上银行所显示的银行卡卡号和密码。

　　微博、豆瓣、邮箱……这些都是大多数人使用频率较高的，但在水波这个响当当的业内人士手中不堪一击。水波目前担任国内一家信息安全公司的高级顾问，日常工作就是对付黑客。水波配合成都商报记者的采访扮演了黑客，于是，一场关于“危险的WiFi”的大戏开始上演。

　　打开登录

　　个人信息一览无遗

　　在高新区孵化园，水波上演了一出“钓鱼”戏，只用了一个平板电脑，伪装出一个名为“CM-CC-FREE”的WiFi，不设置密码。成都商报记者充当免费进入的“小鱼”，不需要密码，点击，顺利进入。打开微信朋友圈，正在浏览的图片同步在了水波的平板电脑上；用手机浏览器打开邮箱，登录进入，平板电脑上显示出用户名和密码；用手机浏览器打开网上银行，卡号和密码也被水波截获；登录豆瓣网页，水波甚至用自己平板电脑上的图片提到了网页中的一部分……

　　这样的实验结果显示是触目惊心的，不过在支付环节，频频出错不成功总算让人的心还是放下来一点。水波说，WiFi钓鱼热点其实就是在数据传输的上游设置了一道阀门，所有客户的数据都通过这个阀门与相应的网站进行传输，黑客通过一些特定的攻击设备，就可以对这些数据进行记录和抓取分析。这样，客户的相关信息就会被黑客获取。不过在支付方面，安全性一般都会较高，虽然加密的支付信息都可以截取下来，但破译非常花工夫，理论上都可以破译，不过成本太高。

　　据水波介绍，黑客只需使用一套非常简单的设备，就能创建出一个信号很强的WiFi热点。为了混淆视线，这些WiFi的名称通常会设置成与某家店名称一致，且不设密码，市民稍不留神就会连上该热点。之后，不法分子的电脑上，就会出现连接此热点用户的一切操作，包括QQ、微博用户名、淘宝账号等。可以说，一旦被钓鱼热点盯上，你的一切隐私都暴露于黑客的眼皮底下，黑客甚至能够侵入你的微博，像主人一样随意翻看。

　　更可怕的是钱财损失。水波说，钓鱼热点的创建者进行一些设置后，用户在访问淘宝或美团等购物网站时，就会被引到一个错误的站点，如果用户进行支付等操作，钱财就有可能被窃取。值得注意的是，不仅公共WiFi存在此风险，家里的路由器也有可能遭攻击。黑客首先会破解网民家里的WiFi密码，再破解路由器管理后台的账号和密码，最后，在路由器中植入后门程序，窃取网民上网信息，或者窜改路由器DNS设置，使得网民在不知情的情况下访问钓鱼欺诈网站。

　　正确操作

　　网上支付没那么危险

　　那么，用公共WiFi上网会危害银行账户安全吗？果壳网给出了一个真相：其实，无论你使用电脑、iPad还是手机，只要通过WiFi上网，数据都有可能被控制这部WiFi设备的黑客电脑截获。但是，无论什么系统的电脑，架设了多么高级的WiFi热点，黑客都无法在用户正确操作下获取网银和支付宝密码，更不要说盗窃其中的钱了。

　　正确操作，应该说是保证用户银行账户的关键。手机银行的账户信息是经过静态加密处理的，而且与手机绑定，假使他人盗取了你的账户信息，但其他手机上也无法操作。最重要的是，手机银行还有认证手段。你输入了正确的账号和密码，当进行涉及账户资金变动的操作时，手机银行会提示你输入特定的电子口令，不同的银行会采用不同的认证方法，比如建行就是通过绑定手机发送手机验证码，但都起到了类似的作用。用过个人网上银行的网友都会知道，使用前必须安装银行提供的安全控件，否则账户信息栏是灰色的，根本无法输入任何信息。而手机的系统无论是苹果、安卓还是塞班，统统都不支持这个控件，根本就安装不了，账号自然无法输入，被盗取更是毫无可能。

　　银行账户是否安全与手机是否通过免费的WiFi上网，并没有必然的联系。使用基于WAP客户端的手机银行是安全的，用电脑通过https使用个人网上银行也是安全的，但不要用手机上个人网上银行，现在绝大部分银行还不支持这项业务。用电脑上个人网上银行时，请核实下https和地址栏后面的小挂锁标志。一些对黑客有一定了解的网友表示，如果随机性在公共场所撒网捕鱼，找到有价值信息的概率太低了，所以黑客去公共场所犯罪的可能也很小。

　　增强安全意识是防骗关键

　　WiFi陷阱无处不在，网民应该如何规避？水波建议，网民首先应该增强安全意识，意识到任何不对劲时立刻抽身，或者用极小额钱财试探。

　　钓鱼热点防不胜防，应当尽量不用公共WiFi进行转账、支付等操作，也尽量少在公共WiFi环境下使用社交软件、逛淘宝，普通的浏览网页、看视频则没有问题。由于在两个热点名称相同时，手机会默认连接信号较强且不需密码的一个，如果手机的WiFi开关未关闭，用户可能会自动连上钓鱼热点，因此，应及时将手机WiFi关上。即使使用家里的WiFi，也不能掉以轻心。首先应该设置一个复杂的密码，类似“WiFi万能钥匙”之类的破解软件尽量少用。

　　同时，需要对别人发来的网络地址多留心，一不小心可能就进了伪装的钓鱼网站。另一方面，尽量选择具有安全认证功能的浏览器。对于智能手机用户，在下载和交易有关的客户端软件时尽量选择官方渠道下载，不要安装来路不明的客户端。